On Tue, 2009-01-27 at 11:40 +0100, Kosa Attila wrote:
On Tue, Jan 27, 2009 at 11:36:31AM +0100, Balazs Scheidler wrote:
a KZorp jelenleg DROP-olja a csomagot, ha egy adott irany nem engedelyezett. Regebben pont igeny volt, hogy a nem engedelyezett iranyok ne menjenek fel a Zorpig, igy sokkal kevesbe terhelik a tuzfalat.
Az igeny ertheto. Nekem az nem vilagos, hogy ehhez miert nem volt eleg az iptables, miert kellett egy ujabb kernelmodul.
A KZorp zona alapu access controlt hasznal, mikozben az iptables IP subnet alaput. Ezt modellezni iptables rule-okkal akkor csomagszuro szabalyrendszert jelentett volna, ami jelentos teljesitmenycsokkenest okozna. A KZorp kozvetlenul a Zorp konfigbol dolgozik, raadasul az elvegzendo muvelet hash table lookup alapjan derul ki, nem kell rengeteg szabalyt iteralni, ami lassu. -- Bazsi